针对远程桌面协议 (RDP)服务的扫描活动显著增加,尤其关注端口 1098/TCP。
Shadowserver Foundation 观察到,在过去两周内,蜜罐传感器检测到此类扫描数量出现了惊人的增长,每天有多达 740,000 个不同的源 IP 地址,其中包括来自巴西的 405,000 个。
这次积极的扫描活动凸显了围绕RDP 服务的持续威胁形势,由于其广泛使用和潜在的漏洞,RDP 服务长期以来一直是网络犯罪分子青睐的目标。
通常与其他服务相关的端口 1098 受到异常关注,这表明攻击者可能正在利用错误配置或试图绕过传统的安全措施。
这次扫描活动的时间尤其值得注意,因为它紧随微软最近发布的“补丁星期二”版本。
2024 年 12 月更新解决了多个严重的 RDP 漏洞,包括CVE-2024-49106、CVE-2024-49108、CVE-2024-49115、CVE-2024-49119、CVE-2024-49120、CVE-2024-49123、CVE-2024-49132、CVE-2024-49116 和 CVE-2024-49128。
下表总结了 Microsoft 2024 年 12 月补丁星期二中与远程桌面服务漏洞相关的 CVE:
| CVE 编号 | 严重程度 | CVSS 评分 | 描述 |
|---|---|---|---|
| CVE-2024-49106 | 超危 | 8.1 (高) | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49108 | 超危 | 8.1 (高) | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49115 | 超危 | 8.1 (高) | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49116 | 超危 | 未指定 | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49119 | 超危 | 未指定 | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49120 | 超危 | 8.1 (高) | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49123 | 高危 | 8.1 | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49128 | 超危 | 未指定 | Windows 远程桌面服务中的远程代码执行 |
| CVE-2024-49132 | 高危 | 8.1 | Windows 远程桌面服务中的远程代码执行 |
所有这些漏洞都会影响 Windows 远程桌面服务,如果不及时修补,将带来重大安全风险。组织应优先应用最新的安全更新来缓解这些威胁。
如果不加以修补,这些漏洞可能允许攻击者在受影响的系统上执行远程代码。
安全专家警告称,配置错误的 RDP 服务可能会让攻击者在目标网络中获得危险的立足点。除了未经授权访问易受攻击的主机之外,攻击者还可以收集有关目标系统的宝贵信息。
RDP 使用的 SSL 证书通常包含系统的主机名,为攻击者提供额外的侦察数据。
鉴于这些威胁,强烈建议组织立即采取行动来保护其 RDP 服务。主要建议包括:
限制 RDP 服务不必要地暴露在互联网上。
为所有 RDP 连接启用多重身份验证 (MFA) 。
确保所有系统都及时安装最新的安全更新。
实施强密码策略和账户锁定措施。
网络级身份验证 (NLA) 用于添加额外的预身份验证安全性层。
此外,我们敦促 IT 安全团队及时调查任何有关 RDP 扫描或利用尝试的报告。这些活动涉及的源 IP 地址可能表明受感染的系统正被用作更大规模攻击基础设施的一部分。
由于远程工作继续成为许多组织运营的重要组成部分,因此确保 RDP 和其他远程访问技术的安全仍然至关重要。
— 欢迎关注 往期回顾 —
>>>网络安全等级保护<<<
>>>关键信息基础设施安全保护<<<
>>>数据安全系列<<<
>>>错与罚<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
